用于控制技术设备的方法和装置 |
|||||||
申请号 | CN201380029120.8 | 申请日 | 2013-06-24 | 公开(公告)号 | CN104411564A | 公开(公告)日 | 2015-03-11 |
申请人 | 西门子公司; | 发明人 | T.梅楚拉特; | ||||
摘要 | 本 发明 涉及一种用于控制技术设备(20)、特别是 铁 路轨道设备的装置(10),其中该装置(10)具有能够促使技术设备(20)进行调整的中央调度室计算机(25)和至少两个操作地点计算机(30,40,50),利用操作地点计算机产生操作命令(BB)并且传输到中央调度室计算机(25)。按照本发明,操作地点计算机(30,40,50)中的至少一个操作地点计算机(30)是安全的操作地点计算机(30),其安全性 水 平达到预定的最低标准,并且至少一个操作地点计算机(40,50)是不安全的操作地点计算机(40,50),其安全性水平低于预定的最低标准,安全的操作地点计算机(30)与中央调度室计算机(25)经过安全的数据连接(200)相连,所述数据连接保证预定的传输安全性,并且至少一个不安全的操作地点计算机(40,50)间接地,即经过安全的操作地点计算机(30),与中央调度室计算机(25)相连,并且不安全的计算机(40,50)的操作命令(BB)被传输到安全的操作地点计算机(30)并且经过该安全的操作地点计算机和安全的数据连接(200)被传输到中央调度室计算机(25)。 | ||||||
权利要求 | 1.一种用于控制技术设备(20)、特别是铁路轨道设备的装置(10),其中,该装置(10)包括能够促使技术设备(20)进行调整的中央调度室计算机(25)和至少两个操作地点计算机(30,40,50),利用所述操作地点计算机产生操作命令(BB)并且传输到所述中央调度室计算机(25), |
||||||
说明书全文 | 用于控制技术设备的方法和装置技术领域[0001] 本发明涉及一种用于控制技术设备、特别是铁路轨道设备的装置,其中该装置具有可以促使技术设备进行调整的中央调度室计算机和至少两个操作地点计算机,利用所述操作地点计算机产生操作命令并且传输到中央调度室计算机。 背景技术[0002] 为了控制技术设备,特别是铁路轨道设备,对于安全性关键的调节操作原则上可以采用任意的操作地点计算机,例如标准PC;预定的安全性水平不必在所有情况下都达到,因为在操作地点计算机和技术设备之间的中央调度室计算机可以拒绝危险的操作处理。对于如下情况,即,利用操作地点计算机也应当产生安全性相关的或安全性关键的操作命令并且应当禁止或避开通过中央调度室计算机的控制,要采取可靠防止在技术设备中的危险情况的预防措施。 发明内容[0003] 本发明要解决的技术问题是,提出一种用于控制技术设备的装置,其可以成本低地实现并且却保证高的安全性标准。 [0005] 按照本发明,操作地点计算机中的至少一个操作地点计算机是安全的操作地点计算机,其安全性水平达到预定的最低标准,并且至少一个操作地点计算机是不安全的操作地点计算机,其安全性水平低于预定的最低标准,安全的操作地点计算机与中央调度室计算机经过安全的数据连接相连,所述数据连接保证预定的传输安全性,并且至少一个不安全的操作地点计算机间接地,即经过安全的操作地点计算机,与中央调度室计算机相连,并且不安全的计算机的操作命令被传输到安全的操作地点计算机并且经过该安全的操作地点计算机和安全的数据连接被传输到中央调度室计算机。 [0006] 按照本发明的装置的主要优点在于,该不安全的计算机也可以被用来产生安全性相关的命令。为了达到充分的安全性水平,按照本发明,不安全的计算机到中央调度室计算机的连接不是直接,而是间接地经过至少一个安全的计算机设置;由此确保,操作命令、特别是安全性相关的操作命令,仅可以从安全的计算机被直接传输到中央调度室计算机,而不能相反地直接从不安全的计算机传输。以该方式可以对于来自于不安全的计算机的操作命令在其被进一步传输到中央调度室计算机以最终执行之前检查其可信度和/或可行性。总之发明性思路在于,本发明通过将安全的操作计算机进行中间连接而实现了不安全的操作地点计算机的结合。 [0007] 为了确保,所有操作地点计算机总是访问显示了技术设备的状态的相同的数据,有利的是,在所述安全的操作地点计算机中或安全的操作地点计算机之一中中央地存储描述了技术设备的状态的数据组并且将不安全的操作地点计算机这样编程,使得其在考虑在安全的操作地点计算机中存储的数据组和由不安全的计算机的操作者预定的显示方式的条件下产生操作者独特的显示控制信号,其导致通过数据组定义的、技术设备的状态被操作者独特地显示在与不安全的操作地点计算机相连的显示装置上。由于描述了技术设备的状态的数据组被中央存储,确保了始终总是所有操作地点计算机和所有与操作地点计算机相连的显示装置总是考虑相同的数据状态。数据的正确性通过如下保证,即,数据在安全的计算机中被管理和更新。 [0008] 为了确保,数据组在安全的操作地点计算机中的中央存储是正确地进行,有利的是,安全的操作地点计算机包括至少两个冗余运行的存储器区域,其中分别存储了描述技术设备的状态的数据组。 [0009] 对于在两个冗余运行的存储器区域中存储的数据组的一致性的检查优选地由比较部件进行。相应地,有利的是,在安全的和不安全的操作地点计算机之间布置比较部件并且比较部件这样构造,使得其将描述了技术设备状态的数据组的数据为了传输到不安全的操作计算机而分别从至少两个冗余运行的存储器区域中的每一个中读出并且互相比较并且将读出的数据然后仅当它们一致时进一步传输到不安全的操作地点计算机,否则禁止进一步传输。 [0010] 比较部件优选是不在操作地点计算机中实现的单独的部件。替换地,比较部件也可以集成在安全的操作地点计算机中。 [0011] 关于安全的操作地点计算机的构造,有利的是,安全的操作地点计算机包括至少两个冗余工作的计算机单元,安全的操作地点计算机的至少两个冗余工作的计算机单元在获得不安全的操作地点计算机的安全性相关的操作命令之后分别将确认请求发送到不安全的操作地点计算机,更确切地说经过比较部件,并且这样构造比较部件,使得其将安全的操作地点计算机的至少两个冗余工作的计算机单元的确认请求互相比较并且当它们一致时进一步传输到不安全的操作地点计算机,并且否则禁止进一步传输。由于需要确认请求,实现了,比较部件可以检查两个冗余工作的计算机单元的活动并且当根据两个冗余工作的计算机单元的确认请求识别到,它们产生互相不同的结果时,可以干预两个冗余工作的计算机单元的活动。 [0012] 关于对安全的操作地点计算机的冗余工作的计算机单元的工作方式的监控,此外有利的是,比较部件也监视在中央调度室计算机和安全的操作地点计算机之间的接口。相应地,有利的是,比较部件将安全的操作地点计算机的至少两个冗余工作的计算机单元的、导致技术设备调整的控制信号互相比较并且仅当它们一致时才进一步传输或允许进一步传输到中央调度室计算机,并且否则禁止进一步传输。 [0013] 本发明还涉及一种用于控制技术设备、特别是铁路轨道设备的方法,其中利用操作地点计算机产生操作命令并且传输到与技术设备相连的中央调度室计算机并且利用中央调度室计算机促使技术设备的调整。 [0014] 按照本发明,利用其安全性水平低于预定的最低标准的不安全的操作地点计算机产生操作命令并且经过其安全性水平达到预定的最低标准的安全的操作地点计算机传输到中央调度室计算机。 [0015] 关于按照本发明的方法的优点参考结合按照本发明的装置的上述实施,因为按照本发明的装置的优点与按照本发明的方法的优点基本上相应。 [0016] 有利的是,在安全的操作地点计算机中中央地存储描述了技术设备的状态的数据组,利用不安全的操作地点计算机在考虑在安全的操作地点计算机中存储的数据组和由不安全的计算机的操作者预定的显示方式的条件下产生操作者独特的显示控制信号,所述显示控制信号导致操作者独特地显示通过数据组定义的、技术设备的状态,并且显示控制信号在与不安全的操作地点计算机相连的显示装置上被显示。 [0017] 此外有利的是,将描述了技术设备的状态的数据组冗余地存储在至少两个存储器区域中并且将描述了技术设备的状态的数据组的数据为了传输到不安全的操作计算机而分别从至少两个存储器区域中的每一个中读出并且互相比较并且将读出的数据仅在它们一致时进一步传输到不安全的操作地点计算机,否则禁止进一步传输。附图说明 [0018] 以下结合实施例详细解释本发明。在此示例性地: [0019] 图1示出了用于控制技术设备的装置的第一实施例,其中根据该装置也示例性解释了按照本发明的方法, [0020] 图2示出了在输入到不安全的操作地点计算机的安全性相关的操作命令的情况下按照图1的装置的工作方式, [0021] 图3示出了按照本发明的装置的第二实施例,并且 [0022] 图4示出了按照本发明的装置的第三实施例,其中在安全的操作地点计算机中集成了比较部件。 [0023] 在附图中为了清楚起见,对于相同的或相似的部件始终使用相同的附图标记。 具体实施方式[0024] 在图1中可以看出用于控制技术设备20的装置10,其例如可以是铁路轨道设备。装置10包括中央调度室计算机25、安全的操作地点计算机30以及两个不安全的操作地点计算机40和50。三个操作地点计算机30、40和50分别与一个显示装置60、70和80相连。 [0025] 两个不安全的操作地点计算机40和50经过比较部件90与安全的操作地点计算机30相连;经过比较部件90可以实现在两个不安全的操作地点计算机40和50与中央调度室计算机25之间的间接连接。 [0026] 图1示例性详细地示出了安全的操作地点计算机30的结构。可以看出两个存储器区域100和110,其用于存储描述了技术设备20的状态的数据组DS。数据组DS在安全的操作地点计算机30中于是两次或者说冗余地存储,更确切地说既在存储器区域100中也在存储器区域110中。 [0027] 此外安全的操作地点计算机30还具有两个冗余工作的计算机单元120和130,其与比较部件90相连。 [0028] 两个计算机单元120和130可以通过物理上分开的处理器或处理器装置形成;替换地,两个计算机单元120和130也可以仅按照软件形成或模拟并且通过在同一个处理器装置上运行的分开的软件模块实现。 [0029] 在安全的操作地点计算机30中以及在两个不安全的操作地点计算机40和50中分别设置一个显示软件模块ASM,其允许在分别在后连接的显示装置60、70或80上显示技术设备20的状态。 [0030] 在按照图1的实施例中安全的操作地点计算机30的显示软件模块ASM存储在分开的存储器区域140中;替换地,显示软件模块ASM也可以存储在存储器区域100或存储器区域110中。 [0031] 安全的操作地点计算机30的显示软件模块ASM例如可以由分开的计算机单元150实施;如在图1中所示。替换地,安全的操作地点计算机30的显示软件模块ASM也可以通过两个计算机单元120或130中的一个或冗余地通过两个计算机单元120和130实施。 [0032] 在图1中示出的安全的操作地点计算机30的三个存储器区域100、110和140可以位于在物理上分开的存储器中;替换地,其也可以部分地位于同一个物理存储器中。 [0033] 以下要关于技术设备20的状态的显示示例性详细解释按照图1的装置10的工作方式。 [0034] 如果例如要在显示装置80上显示技术设备20的状态,则在不安全的操作地点计算机50处的操作人员可以输入操作信号BS3,利用所述操作信号向显示软件模块ASM规定或描述技术设备20的状态的用户独特的显示方式。显示软件模块ASM评估操作信号BS3并且在输出侧产生用户独特的显示控制信号AS3,利用所述显示控制信号控制显示装置80并且将技术设备20的状态按照规定向操作人员显示。例如可以利用操作信号BS3来用户独特地改变缩放系数或在显示装置80上显示的部分。 [0035] 操作信号BS3到显示软件模块ASM中的输入可以经过未示出的预处理软件模块进行,例如按照文本形式。对于这样的文本形式的例子例如可以是: [0036] “acknowledge(success,“setDynamicObjectLengthOn- [0037] Path(Train01,15)”)() [0038] acknowledge(success,“setAttribute(Train01,z,10)”)() [0039] acknowledge(success,“proceduralGraphicObjectCom- [0040] mand(Train01, [0041] setLineThickness,9)”)() [0042] acknowledge(success,“proceduralGraphicObjectCom- [0043] mand(Train01,setTextureType, [0044] SHADED_TWO_COLORS_ARROW,255,255,255,255,255,0,0,0)”)()[0045] leaveMouseOver(Lupe,Lupenbild)(16) [0046] enterMouseOver(Lupe,Lupenbild)(15) [0047] leaveMouseOver(Lupe,Lupenbild)(15) [0048] enterMouseOver(Lupe,Lupenbild)(16) [0049] mouseEvent(Lupe,Lupenbild,MouseButtonPress,Left- [0050] Button,441,588)(16) [0051] mouseEvent(Lupe,Lupenbild,MouseButtonRelease,Left- [0052] Button,441,588)(16)” [0053] 用来描述技术设备20的状态的数据D,在此来源于数据组DS,其以冗余的方式存储在安全的操作地点计算机30的两个存储器区域100和110中。为了确保,数据D实际上描述了技术设备20的正确的当前状态,对来自于两个存储器区域100和110的数据D由比较部件90检查其身份。为了实现该检查,比较部件90将来自于两个存储器区域100和110的两个数据组DS的数据D首先进行比较并且然后仅当数据D一致时进一步传输到不安全的操作地点计算机50的显示软件模块ASM。 [0054] 描述技术设备的状态的数据D例如可以按照文本形式传输。为了定义在技术设备20的路线段上的过程例如可以传输以下数据: [0055] “createProceduralGraphicObject(cTARGET_WIDGET, [0056] Train01,AnimatedMovingObject) [0057] setDynamicObjectLengthOnPath(Train01,15) [0058] setAttribute(Train01,z,10)” [0059] 借助比较部件90由此确保,在显示装置80上仅显示与技术设备20的实际上当前状态相应的数据。 [0060] 通过将相应的操作信号BS1或BS2输入到安全的操作地点计算机30中或不安全的操作地点计算机40中并且产生相应的显示控制信号AS1和AS2,以相应的方式可以在显示装置60和70上显示技术设备20的状态。两个操作地点计算机30和40分别具有一个显示软件模块ASM,其评估分别施加的操作信号BS1或BS2并且基于操作者侧期望的显示方式在各自的显示装置60或70上显示技术设备20的状态。 [0061] 对于两个操作地点计算机30和40的显示软件模块ASM,在此也始终访问也由操作地点计算机50如上所述使用的相同的数据组DS;换言之,将包含了关于技术设备20的状态的数据D的数据组DS仅中央地存储和管理并且由中央的点出发被传输到各自的操作地点计算机30、40和50的显示软件模块ASM [0062] 由操作地点计算机30或操作地点计算机40的显示软件模块ASM显示的数据D,也由比较部件90检查其正确性,如关于操作地点计算机50在上面已经描述的。这意味着,对于两个操作地点计算机30和40的显示软件模块ASM,比较部件90在从两个存储器区域100和110读出数据D时也检查数据的身份并且仅当来自于两个存储器区域100和110的数据D一致时才将数据进一步传输到各自的显示软件模块ASM。 [0063] 图2示例性示出了当借助两个不安全的操作地点计算机40和50之一产生安全性相关的操作命令BB时,按照图1的装置10的工作方式,利用所述操作命令应当通过中央调度室计算机25进行技术设备20的调整。在获得安全性相关的操作命令BB之后两个计算机单元120和130评估操作命令并且产生确认请求BSA并且经过比较部件90发送到不安全的操作地点计算机50。比较部件90在此检查两个计算机单元120和130的确认请求BSA的身份或内容的一致性并且仅当两个确认请求BSA一致时才进一步传输到不安全的操作地点计算机50。 [0064] 否则当两个确认请求BSA不同时,比较部件90禁止进一步传输。以该方式确保,安全性相关的操作命令BB的处理仅当两个计算机单元120和130以相同的方式理解安全相关的操作命令BB并且利用相同的确认请求BSA签收时才可以进行。 [0065] 只要不安全的操作地点计算机50获得确认请求BSA并且借助操作者启动的确认信号BSS在内容上已经确认,则两个计算机单元120和130进行安全性相关的操作命令BB的执行并且产生控制信号STB,其被传输到中央调度室计算机25。利用控制信号STB通知中央调度室计算机25:技术设备20应当被调整。技术设备20的调整然后由中央调度室计算机25进行。 [0066] 控制信号STB从安全的操作地点计算机30到中央调度室计算机25的数据传输经过安全的数据连接200进行,以避免命令被歪曲。 [0067] 为了确保,两个计算机单元120和130正确执行操作地点计算机50的安全性相关的操作命令BB并且产生用于中央调度室计算机25的正确的控制信号STB,可以通过比较部件90进行两个计算机单元120和130的工作结果的监控。优选地,比较部件90当两个计算机单元120和130提供不同的结果和不同的控制信号STB时禁止经过安全的数据连接200产生以及进一步传输控制信号STB。 [0068] 图3示出了用于控制技术设备20的装置10的第二实施例。与按照图1的实施例不同,在安全的操作地点计算机30上连接了两个显示装置60和61,其分别由一个对应的显示软件模块ASM控制。两个显示软件模块ASM可以在存储器区域100和/或存储器区域110中或也在单独的存储器区域中存储。在按照图3的实施例中假定,两个显示软件模块ASM分别在单独的存储器区域140和141中存储并且由计算机单元150和151实施。 [0069] 由于安全的操作地点计算机30具有两个显示软件模块ASM的构造,可以在两个显示装置60和61上设置技术设备20的状态的不同显示,其中不同的操作信号BS1和BS1'被输入到显示软件模块ASM中。以该方式例如操作人员可以检查显示软件模块ASM的工作方式的正确性。 [0070] 为了也对于安全的操作地点计算机30的两个显示软件模块ASM允许监控显示了技术设备20的状态的数据D,数据D不是从两个存储器区域100和110直接传输到显示软件模块ASM,而是仅间接地经过比较部件90。仅当来自于两个存储器区域100和110的数据D一致时比较部件90才将数据D进一步传输到在安全的操作地点计算机30中的两个显示软件模块ASM,从而也才可以进行在两个显示装置60和61上的显示。关于技术设备20的状态的安全显示,按照图3的装置10的工作方式由此相应于按照图1的装置的工作方式,从而可以参见上述实施。 [0071] 图4示出了用于控制技术设备20的装置10的第三实施例。按照图4的装置10基本上相应于按照图3的实施例,区别在于,比较部件90不是分开的部件,而是集成在安全的操作地点计算机30中。 [0073] 尽管在细节上通过优选实施例详细示出和描述了本发明,但是本发明不受公开的例子限制,而是可以由专业人员从中导出其他变化,而不脱离本发明的保护范围。 [0074] 附图标记列表 [0075] 10 装置 [0076] 20 技术设备 [0077] 25 中央调度室计算机 [0078] 30 安全的操作地点计算机 [0079] 40 不安全的操作地点计算机 [0080] 50 不安全的操作地点计算机 [0081] 60 显示装置 [0082] 61 显示装置 [0083] 70 显示装置 [0084] 80 显示装置 [0085] 90 比较部件 [0086] 100 存储器区域 [0087] 110 存储器区域 [0088] 120 计算机单元 [0089] 130 计算机单元 [0090] 140 存储器区域 [0091] 150 计算机单元 [0092] 151 计算机单元 [0093] 200 数据连接 [0094] ASM 显示软件模块 [0095] AS1-AS3 显示控制信号 [0096] BB 操作命令 [0097] BSA 确认请求 [0098] BSS 确认信号 [0099] BS1 操作信号 [0100] BS1' 操作信号 [0101] BS2 操作信号 [0102] BS2 操作信号 [0103] D 数据 [0104] DS 数据组 [0105] STB 控制信号 |